해킹 또는 업무 담당자의 실수로 개인정보가 유출된 총 16개 사업자에 과징금 및 과태료 처분이 내려졌다.
개인정보보호위원회는 23일 제5회 전체회의를 개최하고, 개인정보가 유출된 16개 사업자의 개인정보보호 법규 위반에 대해 총 2천370만 원의 과징금과 9천200만 원의 과태료 부과 처분을 의결했다.
이번 조사는 모두 사업자들이 한국인터넷진흥원(KISA)에 유출 사실을 신고함에 따라 진행됐다. 유출 원인 중 해킹은 12건이었으며, 업무상 과실은 4건이었다.
캔바 등 4개 사업자는 아마존웹서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근권한을 탈취당했고, 그 결과 캔바 23만6천775건, 징가는 1만3천57건, 플루크는 2천230건, 하우빌드 3천771건의 이름과 연락처 등 개인정보가 각각 유출됐다.
한국화재연구소 등 5개 사업자는 에스큐엘(SQL) 인젝션, 웹셀 공격, 무작위 대입 공격 등을 받아 개인정보가 유출됐다. 한국화재연구소 427건, 넬슨스포츠 2천696건, 아시아나항공 198건, SK하이닉스 2천207건, 성보공업 276건의 개인정보가 유출됐다.
강원도의사회 등 4개 사업자의 경우 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달됐다. 강원도의사회는 홈페이지 유지보수 업체가 실수로 다른 홈페이지에 강원도의사회 선거인명부 3천320명)를 게시했다. 한국투자신탁운용은 웹페이지 개발 실수로 접근 통제가 이루어지지 않아 온라인 토론회 참가 신청자명단 2천932명이 인터넷에서 검색됐다. 스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당 직원이 교육 안내 메일을 보내면서 실수로 인사정보 파일을 잘못 첨부했다.
캔바, 징가, 플루크, 성보공업, 휘닉스중앙 등 5개 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않은 사실이 적발되었다.
관련기사
- "디지털 대전환시대, 개인정보보호 어떻게?"...23일 웨비나 개최2022.02.21
- 윤종인 개인정보위원장 "기업, 제품 개발 시 '개인정보 중심 설계' 고려해야"2022.02.17
- 시청자 개인정보로 보험 영업...EBS·키움에셋에 과징금 2억2022.02.09
- 블록체인에 기록된 개인정보, 익명처리하면 파기로 인정2022.02.08
개인정보위는 안전조치를 소홀히 하거나 유출통지를 하지 않는 등 법규를 위반한 16개 사업자 모두에게 과태료를 부과했고 이에 더하여 안전조치를 소홀히 하여 개인정보가 유출된 정보통신서비스 사업자 징가와 하우빌드, 그리고 암호화하지 않은 주민등록번호가 유출된 성보공업에는 과징금도 부과했다.
양청삼 개인정보위 조사조정국장은 유출 사고 즉시 통지하지 않은 사례에 대해 "개인정보가 유출되지 않도록 사전에 안전조치를 잘 하는 것도 중요하지만 사고 이후에 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다"고 강조하면서 "유출이 발생한 경우 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해달라"고 사업자들에게 당부했다.
